Что такое атака infinite mind и как она работает?

Атака infinite mind наиболее распространена в протоколах децентрализованного финансирования (DeFi). Атака ставит под угрозу целостность и ценность криптовалюты или токена, создавая их бесконечное количество.

Например, хакер воспользовался уязвимостью смарт-контрактов платной сети, чтобы использовать токены mint и burn, что привело к потере 180 миллионов долларов и снижению стоимости PAID на 85%. Более 2,5 миллионов платных токенов были конвертированы в Эфир (ETH), прежде чем атака была остановлена. Сеть возместила убытки пользователям, развеяв слухи о том, что кто-то работал на злоумышленников изнутри.

Злоумышленник может извлечь выгоду из таких атак, продавая незаконно созданные токены или вмешиваясь в регулярную работу сети блокчейнов, подвергшейся атаке. Распространенность атак infinite mint подчеркивает, насколько важно проводить тщательный аудит кода и включать меры безопасности в разработку смарт-контрактов для защиты от эксплойтов такого рода.

Чтобы создать лазейку, которая позволяет злоумышленнику чеканить бесконечное количество токенов, атака infinite mint использует уязвимости в смарт-контрактах, в частности, те, которые связаны с функциями чеканки токенов. 

Шаг 1: идентификация уязвимости

Методология атаки заключается в выявлении логических уязвимостей в контракте, которые обычно связаны с проверкой вводимых данных или механизмами контроля доступа. Как только уязвимость обнаружена, злоумышленник создает транзакцию, которая использует ее в своих интересах, заставляя контракт выпускать новые токены без необходимой авторизации или проверки. Эта уязвимость может позволить обойти предполагаемые ограничения на количество токенов, которые могут быть созданы.

Шаг 2: использование

Уязвимость запускается вредоносной транзакцией, которую создает злоумышленник. Это может повлечь за собой изменение параметров, выполнение определенных функций или использование непредвиденных соединений между различными сегментами кода.

Шаг 3: неограниченный майнинг и сброс токенов

Эксплойт позволяет злоумышленнику выпускать токены в количестве, превышающем предусмотренное архитектурой протокола. Такой поток токенов может вызвать инфляцию, которая приведет к снижению стоимости монеты, а также к убыткам для различных заинтересованных сторон, включая инвесторов и пользователей.

Сброс токенов - это практика, когда злоумышленники быстро наводняют рынок свежесозданными токенами, а затем обменивают их на стейблкоины или другие криптовалюты. Из-за неожиданного увеличения предложения стоимость первоначального токена резко снижается, что приводит к обвалу цен. Однако до выхода на рынок продажа завышенных токенов может принести пользу злоумышленнику.

Атака infinite mint приводит к быстрому обесцениванию токена, финансовым потерям и нарушению экосистемы.

Атака infinite mint создает бесконечное количество токенов или криптовалют, мгновенно обесценивая затронутый актив и приводя к большим убыткам для пользователей и инвесторов. Это ставит под угрозу целостность всей экосистемы, подрывая доверие к задействованной блокчейн-сети и подключенным к ней децентрализованным приложениям.

Кроме того, продавая токены с завышенной стоимостью до того, как рынок отреагирует в полной мере, злоумышленник может извлечь выгоду и, возможно, оставить у других ничего не стоящие активы. В результате инвесторам может быть трудно или невозможно продать свои активы по справедливой цене, если атака вызовет кризис ликвидности.

Например, во время атаки Cover Protocol в декабре 2020 года стоимость токена упала с более чем 700 долларов до менее чем 5 долларов за считанные часы, а инвесторы, у которых были токены COVER, понесли финансовые потери. Хакеры отчеканили более 40 квинтиллионов монет.

Падение стоимости токена может нарушить работу всей экосистемы, включая децентрализованные приложения (dApps), биржи и другие сервисы, которые зависят от стабильности токена. Внимание со стороны регулирующих органов может привести к юридическим проблемам и проверке проекта, что может привести к штрафам или иным санкциям.

Атака infinite mint направлена на создание неограниченного количества токенов, в то время как атака reentrancy (атака с повторным входом) использует механизмы вывода средств для постоянного истощения средств. 

Атаки Infinite mint используют недостатки в процессе создания токенов для создания неограниченного количества, снижая их стоимость и обрекая инвесторов на убытки. 

С другой стороны, атаки с повторным входом концентрируются на процедуре вывода средств, что дает злоумышленникам возможность постоянно выводить деньги с контракта, прежде чем у него появится возможность обновить свои балансы. 

Хотя любая атака может иметь катастрофические последствия, важно понимать различия, чтобы разработать эффективные методы смягчения последствий.

Ключевыми различиями между атакой infinite mint и атакой с повторным входом являются:

Криптовалютные проекты могут значительно снизить вероятность стать объектом атаки и защитить инвестиции членов сообщества, уделяя особое внимание безопасности и принимая превентивные меры.

Для предотвращения атак infinite mint необходима многогранная стратегия, которая на каждом этапе криптовалютного проекта ставит безопасность на первое место. Очень важно, чтобы независимые эксперты по безопасности проводили тщательные и частые аудиты смарт-контрактов. Эти аудиты тщательно проверяют код на наличие недостатков, которые могут быть использованы для чеканки бесконечных сумм денег. 

Также должен быть установлен строгий контроль доступа. Полномочия на майнинг должны предоставляться только авторизованным сторонам. Для повышения безопасности следует использовать кошельки с несколькими подписями. Инструменты мониторинга в режиме реального времени необходимы для быстрого реагирования на возможные атаки и выявления любых необычных схем транзакций или резких скачков в поставках токенов.

Проекты также должны иметь надежные планы резервного копирования, которые готовы быстро справиться с любыми возможными атаками и минимизировать ущерб. Это предполагает наличие открытых каналов связи с биржами, поставщиками кошельков и сообществом в целом, чтобы предвидеть возможные проблемы и планировать решения.